レンタルサーバに登録して、WordPressもインストール。ブログ記事を書く体制が整いました!しかし、その前におこなっておく必要があるのが「セキュリティ対策」です!ここでは、簡単で効果がすぐに表れるセキュリティ対策を説明します。
■WordPressを立ち上げたのだがセキュリティが不安。
■セキュリティ対策はどうすれば良いの?
以上のような悩みを解決できる記事になっていますので、是非、読んで頂けると幸いです。
私も数年前からブログを始めて、情報発信しています!この記事ではブログを始めるにあたって知識が全くのゼロの方でも理解出来るように執筆しました。みなさまのお役に立てれば幸いです!
【PR】記事内にプロモーションが含まれています。
おすすめのレンタルサーバ3選!
WordPressを立ち上げたのだがセキュリティが不安。
セキュリティが不安と思っている方は結構多いのではないでしょうか。WordPressが狙われやすい理由と、脆弱性を突かれて侵入されたらどうなってしまうのかを説明します。
WordPressは狙われやすい3つの理由とは?
使っている人が一番多い
WordPressはWEBサイトやブログなどを作成するオープンソース(無償で公開していること)のソフトウェアです。全世界の約40%がWordPressをしようしています。世界の中でもっとも使用されているソフトウェアだからこそ、脆弱性を突く攻撃などで狙われやすいのです。
ユーザはあまりセキュリティを意識してない?
WordPressを使用しているユーザの中にはセキュリティ対策をあまり意識していない人たちがいる事が挙げられています。攻撃者は、その意識レベルの低いユーザを狙って脆弱性を突いてくるのです。
WordPressのセキュリティ対策、未実施の経営者 4割以上が「セキュリティを意識したことがない」実態 その理由、「なんとなく自社は大丈夫だと思う」が最多に
プログラムが公開されている
前述で述べた通り、WordPressはオープンソースのソフトウェアです。オープンソースとは無償で公開されているソフトウェアのこと。悪意ある攻撃者がプログラムの中身を確認して脆弱性を発見し、攻撃してくることも十分考えられます。
WordPressに関わらずですが、一般企業でもシステムの脆弱性が発見されれば、一年のうちにかなりの休日出勤をして脆弱性対応をおこなっているかと思います。それは攻撃者から会社のシステムを守るため、常にシステムを最新の状態に保つためです。
WordPressの脆弱性を突かれると何が起きる?
なりすましによる管理コンソールへのログイン
ログイン画面からユーザID、パスワードによるアクセスを試み、侵入されると管理コンソールが乗っ取られてしまいます。
攻撃者がまずやることはユーザID、パスワードを変更して、さらに二段階認証による設定を施すでしょう。そうなってしまうとあなたはもうWordParessにログインすることが出来なくなってしまいます。
機密データの流出による情報漏洩
WordPressを利用してECサイト(インターネット上でサービスや商品を売るサイト)を構築している人もいるでしょう。ECサイトでは顧客情報などを管理しています。
その顧客情報が流出し、損害賠償や社会的信用を失う可能性も十分に考えられます。
投稿した記事への改ざん
管理コンソールが乗っ取られてしまうと、攻撃者の意図するサイト(不正なサイト)へのリンク貼り付けなどがあげられます。
マルウェア付のファイル(悪意のあるファイル)を置き、閲覧者にダウンロードさせるなど、あなただけが被害にあうどころか、閲覧者まで被害にあってしまいます。
WordPressの脆弱性を突かれ侵入を許すことで、膨大な被害を受けることになるのね。
WordPressのセキュリティ対策5つ!
ここではWordPressのセキュリティ対策を5つ説明します。どれも簡単に出来て、すぐ効果がある対策なので、是非、おこなって頂くことをおすすめします。
パスワード強度を上げる!
まずはこれ!パスワード強度を上げましょう。
攻撃者はパスワードをクラックするのに辞書攻撃、ブルートフォース攻撃を使用します。辞書攻撃とは辞書に登録されている単語などを使用してパスワード解読を試みます。
ブルートフォース攻撃は大文字、小文字、英数字、記号を組み合わせて、あらゆる組み合わせを試行してパスワード解読を試みる手法です。
最低でも、「大文字・小文字・英数字・記号」を合わせた10桁以上がIPAで奨励されています。これであればパスワードクラックにかかる時間が現在のところ約5年はかかると言われています。
以下のWEBサイトを参考にしています。
ログイン時の二段階認証
パスワードの強度を上げたら、今度は二段階認証の設定です。「二段階認証」とは、「ユーザID・パスワード」の他に、認証する機能をもう1つ追加します。
・「ユーザID・パスワード」+「スマホによる認証コード」
・「ユーザID・パスワード」+「メールによる認証コード」
WordPressではプラグイン(Two Factor)を利用して「二段階認証」の設定をおこないます。以下の記事に詳しく設定方法を記載しています。
パスワード強度を上げ、二段階認証にすれば、「ログイン画面」からの侵入はまず防げます。
WordPressのプラグイン、テーマを最新の状態に保つ
「ログイン画面」へのセキュリティ対策が出来ていても、WordPressの脆弱性を突かれたら攻撃者の侵入を許してしまいます。プラグインとテーマは常に最新の状態に保つようにしましょう。
プラグインやテーマの更新があると、WordPressのダッシュボードのメニュー「更新」に通知が来るようになっています。
「全て選択」にチェックを入れ、「テーマを更新」をクリックします。
更新するプラグインの数によっては、そこそこ時間かかかるかも知れません。
「プラグイン」「テーマ」ともに全て最新版になっています。
不要なプラグインは削除しよう
使っていないプラグイン、不要なプラグインは出来るだけ削除しましょう。「削除」ではなく「無効化」もあまりおすすめ出来ません。
「無効化」にしているプラグインもアップデートの更新があり、無効化していると自動更新が出来ませんので、放っておくと脆弱性の対象になってしまいます。又、WordPress自体も重たくなるため、不要なプラグインは「削除」がおすすめです。
知らないうちにインストールされていたプラグイン。
以下のプラグインが知らないうちにインストールされていました。調べてみると、SEO対策で「All in One SEO」をインストールした際に、勝手にインストールされるようです。
使用しないのであれば「削除」をおすすめします。
■「Google Analytics for WordPress by MonsterInsights」
■「OptinMonster」
レンタルサーバのセキュリティ機能の活用
作成した「WordPress」は外部公開され、誰でも閲覧可能になります。閲覧する方は全員が良い方とは限りません。中には脆弱性を突いてホームページを攻撃する方もいます。
その為に無料でできる設定があります。簡単ですので、是非、設定してくださいね。ここでは私が利用している「お名前.com」のコントロールパネルを利用して説明します。
WAFの機能を利用する・SSL通信の暗号化
「コントロールパネル」を選択するとセキュリティの項目が表示されます。
SSL通信の暗号化
SSL通信はサーバとホームページ間の暗号化通信を行っています。ステータスが「有効」になっていることを確認してください。
WAFの機能を利用する
WAF(Web Application Firewall)は、外部の攻撃からホームページを守ってくれます!設定のところが「ON」になっていることを確認してください。
WordPressで設定を行った際にWAFが誤検知してしまう場合があります。その時は、一度、設定を「OFF」にして設定が終わったら「ON」に切り替えましょう。※「ON」に切り替え忘れる時があるので注意が必要です!
バックアップ機能を利用する
バックアップを取る理由
・WEBサイト(WordPress)の改ざんなどの予防
・WEBサイト(WordPress)の不具合などの予防
他のWEBサイトでもWordPressのバックアッププラグインなど紹介されていますが、私はレンタルサーバで提供されているバックアップ機能の利用をおすすめします。
理由は、WordPressにインストールするプラグインは、なるべく必要最低限で運用したい(あまりリスクはあげたくない)ということ。又、レンタルサーバでのバックアップ機能があれば、レンタルサーバ側に任せたほうが運用するのも楽だからです。
「お名前.com」の場合、RSプラン「WEBサイトのデータ」「メールデータ」「データベース」を無料で自動保存してくれます。リストア(復元)は14日前までです。
【ドメイン使うなら】お名前.com レンタルサーバー
「Xサーバー」の場合、初期費用、月額費用が無料で自動バックアップが利用できます。「WEBサイトのデータ」「メールデータ」「データベース」随時14日間の保存です。
レンタルサーバー エックスサーバー
「ロリポップ」の場合、バックアップオプションがあり、申し込みによって利用できます。
アフィリエイトブログを始めるならロリポップ
「お名前.com」と「Xサーバー」は自動でバックアップを取得してくれるので、あまり気にする必要は無いかもしれません。しかし、それぞれの管理画面での確認、レンタルサーバの説明はチェックしておく必要がありますね。
WordPressのセキュリティ まとめ
■WordPressを立ち上げたのだがセキュリティが不安。
■セキュリティ対策はどうすれば良いの?
以上の悩みを以下ののような項目ごとに分けて説明してきました。
WordPressを立ち上げたのだがセキュリティが不安。
→ WordPressは狙われやすい3つの理由とは?
→ WordPressの脆弱性を突かれると何が起きる?
WordPressのセキュリティ対策5つ!
→ パスワード強度を上げる!
→ ログイン時の二段階認証
→ WordPressのプラグイン、テーマを最新の状態に保つ
→ 不要なプラグインは削除しよう
→ レンタルサーバのセキュリティ機能の活用
WordPressを立ち上げてインターネット上からログイン出来るということは、外部に晒している以上、だれでも見れるという事なのです。当然、攻撃者からもログイン画面は見えます。
もし、攻撃を許してしまえば自分自身の損害だけではなく、閲覧する方、利用している方、全員が被害者になってしまいます。
そうならない為にも、是非、セキュリティ対策を施しましょう!今回、説明した対策は時間もかけずにすぐ出来て、効果もあります。
安心、安全でWordPressを楽しく使用しましょう!
以下の記事も参考になるかと思いますので、読んで頂けたら幸いです。
「ブログって何?ブログは有益性があるの?ブログを始めるまでの流れが知りたい!」そのような悩みを解決できる記事になっています。おすすめのレンタルサーバも紹介しています!
レンタルサーバへの登録方法、ASP(アフェリエイト・サービス・プロバイダ)って何?などを説明している記事となっています。
コメント